Ny vejledning sætter fokus på at komme menneskelige fejl til livs i it-sikkerheden
Opslag på intranettet eller printede vejledninger i tekøkkenet eller kopirummet er ikke nok, hvis man skal komme en af it-sikkerhedens giftigste modstandere til livs – de menneskelige fejl.
Den slags er nemlig blandt de mest hyppige årsager til, at ubudne gæster kommer indenfor og i værste fald bringer organisationen eller hele virksomheden i fare.
Derfor sætter en ny strategi fra Digitaliseringsstyrelsen og Center for Cybersikkerhed fokus på det menneskelige aspekt af it-sikkerheden.
»Det er ikke nok at nedskrive informationssikkerhedsretningslinjer og gøre ansatte opmærksomme på, at de er ansvarlige for at efterleve dem, for det bliver ikke nødvendigvis vekslet til reel styrket sikkerhed. En reel styrkelse af informationssikkerheden må involvere at informationssikkerhedspolitikker og –retningslinjer reelt efterleves ved at designe indsatser, der styrer ansattes adfærd i en ønskelig sikker retning,« står der således i strategien, som er målrettet CISO’er og andre medarbejdere i organisationen, der arbejder med informationssikkerhed.
Truslen fortsat høj
Senest har vi herhjemme set, hvordan byggemarkedet Bauhaus er blevet lagt ned af russiske hackere, der har kompromitteret it-setup’et og tvunget virksomheden til at kæmpe for at holde gang liv i it-systemerne og ikke mindst omsætningen.
Og truslen mod danske virksomheder er da også fortsat høj, vurderer Center for Cybersikkerhed.
»Cybertruslen mod danske virksomheder og myndigheder er meget høj, og det er ikke et spørgsmål om hvorvidt, men om hvornår, man bliver ramt. Når hackerne finder en vej ind i organisationers netværk, sker det meget ofte gennem usikre passwords eller phishing. Derfor vil vi med vores nye vejledning give virksomheder og myndigheder endnu et værktøj i kassen til at forbedre arbejdet med sikkerhedsadfærd,« udtaler Thomas Lund-Sørensen, chef for Center for Cybersikkerhed i en pressemeddelelse.
Vejledningen fra Digitaliseringsstyrelsen og Center for Cybersikkerhed skal således hjælpe med at målrette indsatsen, så den løser det adfærdsproblem, som betyder, at medarbejdere fortsat falder i, når indbakken indeholder phishing-emails eller når man for lethedens skyld benytter usikre passwords.
Her er det vigtigt, ifølge vejledningen, af kende forskel på awareness og adfærd.
»Lidt forsimplet kan man sige, at det er et vidensproblem, hvis en medarbejder ikke ved, hvordan hun skal opdatere sin pc. Et problem, der handler om manglende awareness. Men hvis hun godt ved, hvordan hun opdaterer pc’en og kender deadline, men alligevel ikke får det gjort, er der tale om et adfærdsproblem. En medarbejder skal altså have erfaring med eller viden om et område for at kunne have en ønsket adfærd. Prioritering af uddannelse og træning af medarbejdere er derfor essentielt for, at viden bliver omdannet til kompetencer,« står der således i strategien.
Du kan læse hele vejledningen HER
Har du erfaringer med forskellene på awareness og adfærd? Og hvordan griber I problemstillingen an hos jer? Del gerne dine erfaringer i kommentarsporet.
